| | | | |
Le chapitre II du titre V du livre II du code de sécurité xxx intérieure est complété par un article L. 252‑8 ainsi rédigé : | | | |
« Les personnes autorisées à exploiter un système de vidéoprotection au sein d’un magasin de vente ou d’un centre commercial particulièrement exposé à des risques d’agression ou de vol, peuvent utiliser des technologies d’analyse automatique des images captées par le système de vidéoprotection au sein de ces établissements, aux fins d’y assurer la sécurité des personnes et des biens, à condition que cet usage soit légitime et proportionné. | | | |
« Lorsque les personnes autorisées font usage des technologies décrites au premier alinéa, elles sont tenues au strict respect de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les technologies d’analyse automatique des images captées par le système de vidéoprotection ne peuvent pas être utilisées pour le traitement de catégories spéciales de données à caractère personnel au sens de la loi n° 78‑17 du 6 janvier 1978 précitée, ni aux fins d’identifier une personne de manière unique. | | | |
« Conformément à l’article 56 de la loi n° 78‑17 du 6 janvier 1978 précitée, les autorités publiques compétentes peuvent, par voie réglementaire, limiter la portée des droits d’accès, de rectification, d’opposition ainsi que des droits à l’effacement et à la limitation, des personnes concernées, à condition qu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique. » | | | |
| | II (nouveau). – À titre expérimental et jusqu’au 31 décembre 2031, à la seule fin de prévenir le vol, les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 251‑2 du code de la sécurité intérieure dans les lieux et les établissements ouverts au public particulièrement exposés à des risques d’agression ou de vol peuvent faire l’objet de traitements algorithmiques. Ces traitements ont pour unique objet de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler le risque de vol et de les signaler afin que soient mises en œuvre des mesures appropriées. Amdts n° CL28, n° CL22 | II (nouveau). – À titre expérimental et jusqu’au 31 décembre 2027, à la seule fin de prévenir le vol, les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 251‑2 du code de la sécurité intérieure dans les commerces de détail, les grandes surfaces et les centres commerciaux particulièrement exposés à des risques de vol peuvent faire l’objet de traitements algorithmiques. Ces traitements ont pour unique objet de détecter, en temps réel, des événements prédéterminés susceptibles de présenter ou de révéler le risque de vol et de les signaler afin que soient mises en œuvre des mesures appropriées. Amdts n° 27, n° 32, n° 45, n° 31, n° 44 | |
| | III (nouveau). – Les traitements mentionnés au II du présent article sont régis par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Amdts n° CL28, n° CL22 | III (nouveau). – Les traitements mentionnés au II du présent article sont régis par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et par la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. | |
| | IV (nouveau). – Le public est préalablement informé, par tout moyen approprié, de l’emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252‑1 du code de la sécurité intérieure. Amdts n° CL25, n° CL21 | IV (nouveau). – Le public est préalablement informé, par tout moyen approprié, de l’emploi de traitements algorithmiques sur les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252‑1 du code de la sécurité intérieure. | |
| | V (nouveau). – Les traitements mentionnés au II du présent article n’utilisent aucun système d’identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale. Ils ne peuvent procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel. | V (nouveau). – Les traitements mentionnés au II du présent article n’utilisent aucun système d’identification biométrique, ne traitent aucune donnée biométrique et ne mettent en œuvre aucune technique de reconnaissance faciale. Ils ne peuvent procéder à aucun rapprochement, à aucune interconnexion ni à aucune mise en relation automatisée avec d’autres traitements de données à caractère personnel. | |
| | Ils procèdent exclusivement à un signalement d’attention, strictement limité à l’indication du ou des événements prédéterminés qu’ils ont été programmés à détecter. Ils ne produisent aucun autre résultat et ne peuvent fonder, par eux‑mêmes, aucune décision individuelle ni aucun acte de poursuite. | Ils procèdent exclusivement à un signalement d’attention, strictement limité à l’indication des événements prédéterminés qu’ils ont été programmés à détecter. Ils ne produisent aucun autre résultat et ne peuvent fonder, par eux‑mêmes, aucune décision individuelle ni aucun acte de poursuite. Amdt n° 34 | |
| | Ils demeurent en permanence sous le contrôle des personnes chargées de leur mise en œuvre. Amdts n° CL26, n° CL23 | Ils demeurent en permanence sous le contrôle des personnes chargées de leur mise en œuvre. | |
| | VI (nouveau). – Par dérogation à l’article 31 de la loi n° 78‑17 du 6 janvier 1978 précitée, les modalités de recours à un traitement mentionné au II du présent article sont définies par un décret pris après avis de la Commission nationale de l’informatique et des libertés. | VI (nouveau). – Les modalités de recours aux traitements mentionnés au II sont définies par un décret pris après avis de la Commission nationale de l’informatique et des libertés. Amdts n° 35, n° 36 | |
| | Ce décret détermine les caractéristiques essentielles du traitement. Il indique notamment les événements prédéterminés que le traitement a pour objet de signaler, le cas échéant les spécificités des situations justifiant son emploi, les lieux et les établissements mentionnés au même II susceptibles de le mettre en œuvre et les conditions d’habilitation et de formation des agents pouvant accéder aux signalements du traitement, laquelle porte notamment sur les enjeux liés aux libertés publiques et à l’éthique en lien avec le recours au traitement algorithmique des images. Il désigne l’autorité chargée d’établir l’attestation de conformité mentionnée au dernier alinéa du VII. Amdt n° CL27 | Ce décret détermine les caractéristiques essentielles du traitement. Il indique notamment les événements prédéterminés que le traitement a pour objet de signaler, le cas échéant les spécificités des situations justifiant son emploi, les lieux et les établissements mentionnés au même II susceptibles de le mettre en œuvre et les conditions d’habilitation et de formation des agents pouvant accéder aux signalements du traitement. Cette formation porte notamment sur les enjeux liés aux libertés publiques et à l’éthique en lien avec le recours au traitement algorithmique des images. Le décret désigne l’autorité chargée d’établir l’attestation de conformité mentionnée au dernier alinéa du VII. Amdt n° 37 rect. | |
| | VII (nouveau). – Le traitement algorithmique doit satisfaire aux exigences suivantes, qui doivent pouvoir être vérifiées pendant toute la durée du fonctionnement du traitement : | VII (nouveau). – Le traitement algorithmique doit satisfaire aux exigences suivantes, qui doivent pouvoir être vérifiées pendant toute la durée de son utilisation : Amdt n° 38 | |
| | 1° Lorsque le traitement algorithmique employé repose sur un apprentissage, des garanties sont apportées afin que les données d’apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives. Leur traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d’identifier et de prévenir l’occurrence de biais et d’erreurs. Ces données font l’objet de mesures de sécurisation appropriées ; | 1° Lorsque le traitement algorithmique employé repose sur un apprentissage, des garanties sont apportées afin que les données d’apprentissage, de validation et de test choisies soient pertinentes, adéquates et représentatives. Leur traitement doit être loyal et éthique, reposer sur des critères objectifs et permettre d’identifier et de prévenir l’occurrence de biais et d’erreurs. Ces données font l’objet de mesures de sécurisation appropriées ; | |
| | 2° Le traitement comporte un enregistrement automatique des signalements des événements prédéterminés détectés permettant d’assurer la traçabilité de son fonctionnement ; | 2° Le traitement comporte un enregistrement automatique des signalements des événements prédéterminés détectés permettant d’assurer la traçabilité de son fonctionnement ; | |
| | 3° Le traitement permet des mesures de contrôle humain et un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaises utilisations ; | 3° Le traitement est contrôlé par un humain et comporte un système de gestion des risques permettant de prévenir et de corriger la survenue de biais éventuels ou de mauvaises utilisations ; Amdt n° 40 rect. | |
| | 4° Les modalités selon lesquelles, à tout instant, le traitement peut être interrompu sont précisées ; | 4° Les modalités selon lesquelles, à tout instant, le traitement peut être interrompu sont précisées ; | |
| | 5° Le traitement fait l’objet d’une phase de test conduite dans des conditions analogues à celles de son emploi autorisé par le décret mentionné au VI, attestée par un rapport de validation. | 5° Le traitement fait l’objet d’une phase de test conduite dans des conditions analogues à celles de son utilisation autorisée par le décret mentionné au VI, attestée par un rapport de validation. Amdt n° 42 rect. | |
| | Lorsque le traitement est développé ou fourni par un tiers, celui‑ci fournit une documentation technique complète et présente des garanties de compétence, de continuité, d’assistance et de contrôle humain en vue notamment de procéder à la correction d’erreurs ou de biais éventuels lors de sa mise en œuvre et de prévenir leur réitération. | Lorsque le traitement est développé ou fourni par un tiers, celui‑ci fournit une documentation technique complète et présente des garanties de compétence, de continuité, d’assistance et de contrôle humain en vue notamment de procéder à la correction d’erreurs ou de biais éventuels lors de sa mise en œuvre et de prévenir leur réitération. | |
| | Le respect des exigences énoncées au présent VII fait l’objet d’une attestation de conformité établie par l’autorité administrative compétente. Cette attestation est publiée avant que le traitement soit mis à la disposition des services mentionnés au II qui demandent l’autorisation de l’utiliser dans les conditions prévues au VIII. Amdt n° CL27 | Le respect des exigences énoncées au présent VII fait l’objet d’une attestation de conformité établie par l’autorité administrative compétente. Cette attestation est publiée avant que le traitement ne soit mis à la disposition des services mentionnés au II qui demandent l’autorisation de l’utiliser dans les conditions prévues au VIII. | |
| | VIII (nouveau). – Toute demande d’emploi du traitement doit être accompagnée d’une analyse d’impact relative à la protection des données personnelles, qui expose : | VIII (nouveau). – Toute demande d’emploi du traitement doit être accompagnée d’une analyse d’impact relative à la protection des données personnelles, qui expose : | |
| | 1° Le bénéfice escompté de l’emploi du traitement au service de la finalité mentionnée au II, au regard des événements prédéterminés donnant lieu à un signalement par le système ; | 1° Le bénéfice escompté de l’emploi du traitement au service de la finalité mentionnée au II, au regard des événements prédéterminés donnant lieu à un signalement par le système ; | |
| | 2° L’ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement. | 2° L’ensemble des risques éventuellement créés par le système et les mesures envisagées afin de les minimiser et de les rendre acceptables au cours de son fonctionnement. | |
| | Cette analyse réalisée lors de l’autorisation du traitement par décret est adressée à la Commission nationale de l’informatique et des libertés. | Cette analyse réalisée lors de l’autorisation du traitement par décret est adressée à la Commission nationale de l’informatique et des libertés. | |
| | L’emploi du traitement est autorisé par le représentant de l’État dans le département ou, à Paris, par le préfet de police. Cette autorisation peut être accordée uniquement lorsque le recours au traitement est proportionné à la finalité poursuivie. | L’utilisation du traitement est autorisée par le représentant de l’État dans le département ou, à Paris, par le préfet de police. Cette autorisation peut être accordée uniquement lorsque le recours au traitement est proportionné à la finalité poursuivie. Amdt n° 42 rect. | |
| | La décision d’autorisation est motivée et publiée. Elle précise : | La décision d’autorisation est motivée et publiée. Elle précise : | |
| | a) Le responsable du traitement et les services associés à sa mise en œuvre ; | a) Le responsable du traitement et les services associés à sa mise en œuvre ; | |
| | b) Le périmètre géographique concerné par la mise en œuvre du traitement dans les limites mentionnées au même II ; | b) Le périmètre géographique concerné par la mise en œuvre du traitement dans les limites mentionnées au II ; | |
| | c) Les modalités d’information du public, notamment sur ses droits ; | c) Les modalités d’information du public, notamment sur ses droits ; | |
| | d) La durée de l’autorisation. Cette durée ne peut excéder cinq ans. Amdt n° CL27 | d) La durée de l’autorisation. Cette durée ne peut excéder la durée de l’expérimentation prévue au même II. Amdt n° 43 | |
| | IX (nouveau). – Le responsable du traitement mentionné au a° du VIII tient un registre des suites apportées aux signalements effectués par le traitement ainsi que des personnes ayant accès aux signalements. Amdt n° CL27 | IX (nouveau). – Le responsable du traitement mentionné au a du VIII tient un registre des suites apportées aux signalements effectués par le traitement ainsi que des personnes ayant accès aux signalements. | |
| | X (nouveau). – Les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252‑1 du code de la sécurité intérieure ne peuvent pas être utilisées comme données d’apprentissage. Amdt n° CL27 | X (nouveau). – Les images collectées au moyen de systèmes de vidéoprotection autorisés sur le fondement de l’article L. 252‑1 du code de la sécurité intérieure ne peuvent pas être utilisées comme données d’apprentissage. | |
| | XI (nouveau). – La Commission nationale de l’informatique et des libertés contrôle l’application du présent article. À cette fin, elle peut faire usage des prérogatives prévues aux sections 2 et 3 du chapitre II du titre Ier de la loi n° 78‑17 du 6 janvier 1978 précitée. Amdt n° CL27 | XI (nouveau). – La Commission nationale de l’informatique et des libertés contrôle l’application du présent article. À cette fin, elle peut faire usage des prérogatives prévues aux sections 2 et 3 du chapitre II du titre Ier de la loi n° 78‑17 du 6 janvier 1978 précitée. | |
| | XII (nouveau). – La Commission nationale de l’informatique et des libertés est informée tous les ans des conditions de mise en œuvre de l’expérimentation mentionnée au II du présent article. Le Gouvernement remet au Parlement, au plus tard le 31 décembre 2029, un rapport d’évaluation de la mise en œuvre de l’expérimentation, établi par un comité d’évaluation présidé par une personnalité indépendante, dans des conditions précisées par un décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Ce décret définit notamment les modalités de pilotage et d’évaluation pluridisciplinaire et objective de l’expérimentation et les indicateurs utilisés par celle‑ci. L’évaluation associe, dans le respect du principe de parité entre les femmes et les hommes, deux députés et deux sénateurs, dont au moins un député et un sénateur appartenant à un groupe d’opposition, désignés respectivement par le président de l’Assemblée nationale et le président du Sénat. Le décret définit les conditions dans lesquelles l’évaluation associe également des personnalités qualifiées indépendantes nommées notamment par le président de la Commission nationale de l’informatique et des libertés et par le ministre de l’intérieur sur proposition du président du comité. Le rapport d’évaluation est également transmis à la Commission nationale de l’informatique et des libertés et rendu public sur internet au même moment. Amdt n° CL27 | XII (nouveau). – La Commission nationale de l’informatique et des libertés est informée tous les ans des conditions de mise en œuvre de l’expérimentation mentionnée au II du présent article. Le Gouvernement remet au Parlement, au plus tard le 30 septembre 2027, un rapport d’évaluation de la mise en œuvre de l’expérimentation, établi par le comité d’évaluation mentionné au XI de l’article 10 de la loi n° 2023‑380 du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions. Amdt n° 27 | |
| | | | |